亚洲av无码av吞精,蜜柚黄色网站,亚洲无aV码在线中文字幕,福利社区性爱青青草,国产乱子伦视频大全,国产91AV视频在线播放,99久久最新网址

關(guān)于我們

CNNVD 關(guān)于Oracle WebLogic Server遠(yuǎn)程代碼執(zhí)行漏洞的通報

發(fā)布時間:2018-10-18 12:43:04

近日,國家信息安全漏洞庫(CNNVD)收到Oracle WebLogic Server遠(yuǎn)程代碼執(zhí)行漏洞(CNNVD-201810-781、CVE-2018-3245)情況的報送。攻擊者可利用該漏洞在未授權(quán)的情況下發(fā)送攻擊數(shù)據(jù),通過T3協(xié)議在WebLogic Server中執(zhí)行反序列化操作,最終實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。WebLogic Server 10.3.6.0、12.1.3.0、12.2.1.2、12.2.1.3等版本均受漏洞影響。目前, Oracle官方已經(jīng)發(fā)布補(bǔ)丁修復(fù)了漏洞,建議用戶及時確認(rèn)是否受到漏洞影響,盡快采取修補(bǔ)措施。

一、漏洞介紹

Oracle WebLogic Server是美國甲骨文(Oracle)公司開發(fā)的一款適用于云環(huán)境和傳統(tǒng)環(huán)境的應(yīng)用服務(wù)中間件,它提供了一個現(xiàn)代輕型開發(fā)平臺,支持應(yīng)用從開發(fā)到生產(chǎn)的整個生命周期管理,并簡化了應(yīng)用的部署和管理。

Oracle WebLogic Server存在遠(yuǎn)程代碼執(zhí)行漏洞(CNNVD-201810-781、CVE-2018-3245)。該漏洞通過JRMP協(xié)議利用RMI機(jī)制的缺陷達(dá)到遠(yuǎn)程代碼執(zhí)行的目的。攻擊者可以在未授權(quán)的情況下將payload封裝在T3協(xié)議中,通過對T3協(xié)議中的payload進(jìn)行反序列化,從而實(shí)現(xiàn)對存在漏洞的WebLogic組件進(jìn)行遠(yuǎn)程攻擊,執(zhí)行任意代碼,并獲取目標(biāo)系統(tǒng)的所有權(quán)限。

二、危害影響

攻擊者可利用漏洞在未授權(quán)的情況下發(fā)送攻擊數(shù)據(jù),通過T3協(xié)議在WebLogic Server中執(zhí)行反序列化操作,最終實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。該漏洞涉及了多個版本,具體受影響版本如下:

Oracle WebLogic Server 10.3.6.0

Oracle WebLogic Server 12.1.3.0

Oracle WebLogic Server 12.2.1.2

Oracle WebLogic Server 12.2.1.3

 三、修復(fù)建議

目前, Oracle官方已經(jīng)發(fā)布補(bǔ)丁修復(fù)了漏洞,建議用戶及時確認(rèn)是否受到漏洞影響,盡快采取修補(bǔ)措施。

1、Oracle官方更新鏈接如下:

https://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html

2、臨時解決方案

通過設(shè)置weblogic.security.net.ConnectionFilterImpl默認(rèn)連接篩選器,對T3/T3s協(xié)議的訪問權(quán)限進(jìn)行配置,阻斷漏洞利用途徑。具體如下:

(a)進(jìn)入WebLogic控制臺,在base_domain的配置頁面中,進(jìn)入“安全”選項(xiàng)卡頁面,點(diǎn)擊“篩選器”,進(jìn)入連接篩選器配置。

(b)在連接篩選器中輸入:WebLogic.security.net.ConnectionFilterImpl,在連接篩選器規(guī)則中輸入:* * 7001 deny t3 t3s

(c)保存后重新啟動即可生效。

CNNVD將繼續(xù)跟蹤上述漏洞的相關(guān)情況,及時發(fā)布相關(guān)信息。如有需要,可與CNNVD聯(lián)系。

聯(lián)系方式: cnnvd@itsec.gov.cn

/template/Home/AllNew/PC/Static

中國互聯(lián)網(wǎng)信息中心(CNNIC)IP地址分配聯(lián)盟成員 北京市通信行業(yè)協(xié)會會員單位 中國互聯(lián)網(wǎng)協(xié)會會員單位

跨地區(qū)增值業(yè)務(wù)經(jīng)營許可證(B1-20150255) 電信與信息服務(wù)業(yè)務(wù)經(jīng)營許可證(京ICP證060342號) 京ICP備05032038號-1 京公網(wǎng)安備11010802020193號

Copyright ?2005-2024 北京互聯(lián)互通科技有限公司 版權(quán)所有

售前
電話
400-700-7300
在線
咨詢
微信
咨詢
微信咨詢
售后
服務(wù)